Поддельные SSL-сертификаты Comodo
24.03.2011 [Источник]
Компания Comodo, являющаяся одним из крупнейших поставщиков SSL-сертификатов,
По данным компании, некие хакеры каким-то образом сумели получить доступ к аккаунту одного из доверенных партнёров Comodo, имеющего статус регистрационного центра (название компании не приводится, но говорится, что речь идёт о южной Европе). Обладая таким доступом, злоумышленники получили возможность сделать запрос в удостоверяющий центр Comodo на любой SSL-сертификат.
15 марта было сделано 9 таких запросов, в результате чего удостоверяющий центр автоматически выпустил 3 сертификата для домена login.yahoo.com и по одному — для mail.google.com,
В Comodo заверяют, что быстро обнаружили атаку и приняли ряд необходимых мер. Все поддельные сертификаты были отозваны (они занесены в списки CRL, а кроме того, браузеры, поддерживающие протокол OCSP, должны автоматически идентифицировать эти сертификаты как отозванные). Также были немедленно поставлены в известность об инциденте производители популярных браузеров и владельцы пострадавших доменов. Разумеется, была заблокирована и учётная запись хакнутого регистрационного центра, так что никаких других сертификатов через неё получить не удастся.
Отмечается, что из всех означенных сертификатов лишь один был замечен "живьём" — на неком иранском сайте, который, впрочем, вскоре после отзыва сертификата ушёл в офлайн.
По
В Comodo также определили, что атака преимущественно проводилась из Ирана (IP-адрес, более всего задействованный в атаке, относится к провайдеру Pishgaman TOSE Ertebatat Tehran Network, Тегеран). В компании не исключают, что злоумышленники попытались таким образом замести следы.
Однако, с другой стороны, домены, для которых были получены поддельные SSL-сертификаты, свидетельствуют о том, что хакеров интересуют не деньги пользователей, а информация (почта, поисковые запросы, VoIP-связь, расширения для Firefox). Это, считают в Comodo, может быть выгодно как раз правительственным структурам страны типа Ирана, где давно практикуют цензуру в Сети, тем более что выгоду от фальшивых SSL-сертификатов можно извлечь, лишь обладая контролем над DNS-серверами.
Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев полагает, что такие сертификаты представляют интерес для любых злоумышленников, а не только тех, кто работает на какое-нибудь правительство. В качестве примера он приводит распространённую троянскую программу ZeuS, которая давно обладает функцией кражи SSL-сертификатов.
"Comodo недостаточно адекватно оценивает потенциальные возможности злоумышленников по использованию этих сертификатов, считая что это возможно только при получении управления над DNS-серверами, относя такую возможность только на "государственный" уровень, — полагает Гостев. — На самом деле даже иранский след в этой истории не означает совсем ничего — ведь у Comodo есть только иранский IP-адрес, но нет доказательств того, что тот иранский компьютер не был "зомби", через который осуществлялся только промежуточный доступ".
Вместе с тем Гостев положительно оценивает принятые в Comodo и других компаниях меры.
"Сертификаты были отозваны всеми доступными способами: и путем внесения их в черные списки внутри браузеров (Mozilla и Chrome), и путем прямого запрета их в операционной системе Windows. Эти меры вполне достаточны, — полагает эксперт "Лаборатории Касперского". — Пользователи могут либо обновить свои браузеры, либо установить заплатку от Microsoft. В идеале, конечно, следует сделать и то, и то (если мы говорим о пользователях Windows)".
Александр Гостев также порекомендовал "продвинутым юзерам", которые немного знают английский, ознакомиться с
[<<< Следующая новость] [Все новости] [Предыдущая новость >>>]